MegaCortex, a Matrix-Inspired Ransomware Is on the Prowl
MegaCortexと呼ばれる新しく洗練されたRansomwareの脅威が、世界中の企業ネットワークを標的とするためにソフォスの研究者によって検出されました。中に入ると、ランサムウェアはWindowsドメインコントローラを介してすべての利用可能なマシンに広がります。 MegaCortexによる攻撃は、米国、カナダ、アルゼンチン、フランス、イタリア、オランダ、オーストラリア、香港、アイルランドの複数の国で観察されました。
サイバー犯罪者たち自身が、この新しいランサムウェアの脅威の名前を選びました。それは、最初の映画でMatrix 3部作の主人公が働いていると見られる企業、MetaCortexに対する敬意に反していますが。 MegaCortexによってドロップされた身代金メモのトーンも、Matrix映画の会話と同じように書かれているようです。
MegaCortexに感染したシステム上に存在する他のマルウェア
MegaCortexによる攻撃の調査中、ソフォスは興味深い事実を発見しました - ランサムウェアの他に2つのマルウェアの脅威、 EmotetとQbot (別名Qakbot)も侵入先のネットワーク上に存在しました。現時点で、MegaCortexがネットワークに侵入した媒体であるのか、それともランサムウェアによってセカンダリペイロードとしてドロップされたのかは不明です。
しかし、確認されたことは、多くの場合、侵入されたドメインコントローラが攻撃を開始するために使用されたということです。難読化されたPowerShellスクリプトを使用して、被害者のネットワークにMeterpreterリバースシェルを作成します。これで、攻撃者は3つのファイル(「rstwg.exe」という名前のPsExecのコピー、バッチファイル、および「winnit.exe」という名前のメインのマルウェア実行可能ファイル)からなるマルウェアをネットワークに接続しているすべてのコンピュータにプッシュすることができます。その後、バッチファイルはPsExecを介してリモートで実行され、その結果、44のプロセスを終了し、189のWindowsサービスを停止しようとする一連のコマンドが開始されます。他の194のサービスはそれらのStartタイプがDisabledに変更され、それらが再び起動するのを防ぎます。
バッチファイルの最後のアクションは、ランサムウェアの主な実行ファイルである「winnit.exe」を起動することです。続いて、被害者のデータの実際の暗号化を担当する、ランダムに名前が付けられた.DLLファイルを投下し、実行します。暗号化プロセス中に、 .DLLファイルと同じランダムな名前の.tsvファイルが侵入先のコンピュータにドロップされます。 .tsvファイルには、暗号化されたすべてのファイルの名前とそれに続くbase64でエンコードされた文字列、および2つの40個の16進文字が追加されます。
MegaCortexクリエイターは相談を提供します
MegaCortexの身代金メモは、 " !!! _ READ_ME _ !!!。txt "という名前のテキストファイルにドロップされます。前述のとおり、メモはかなり劇的なスタイルで書かれています。説明によると、暗号化されたファイルを復元する唯一の方法は、サイバー犯罪者の復号化ソフトウェアを購入することです。そうするために、ランサムウェアの犠牲者は1つの暗号化されたファイルとMegaCortexによって作成された.tsvファイルを2つの提供された電子メールアドレスのうちの1つに送るべきです。さらに、ソフトウェアの価格に含まれているのは、支払いを行った会社が将来再び「不便」になることは決してないという「保証」であると述べています。犯罪者はまたあなたのサイバーセキュリティを改善する方法についての協議を投げかけます. そのような申し出が遠隔からでも真剣に受け止められるべきではないことを言及する必要があるとは思わない。
身代金ノートの全文は次のとおりです。
あなたの会社のサイバー防衛システムは秤量され、測定され、そして欲しいと思われてきました。
この違反は、セキュリティプロトコルの重大な無視の結果です。
すべてのコンピュータは、ファイルを暗号化しているMegaCortexマルウェアで破損しています。
お客様のデータを迅速かつ安全に取得する唯一の方法は、当社のソフトウェアを使用することです。
あなたのデータを復元するには、私たちだけが所有する秘密鍵が必要です。
秘密鍵がなければ、サードパーティ製ソフトウェアを購入するのに時間とお金を無駄にしないでください。
コンピュータを再起動またはシャットダウンしないことが重要です。
これはあなたのデータに不可逆的な損害を与えるかもしれず、あなたはあなたのコンピュータを再びオンにすることができないかもしれません。
私達のソフトウェアがランダムなコンピュータとC:\ fracxidg.tsvファイルから私達に2つのファイルに私達に電子メールを送ることを確認するために
そしてあなたはそれらを復号化するでしょう。
C:\ fracxidg.tsvには、ファイルを復号化するために必要な暗号化されたセッションキーが含まれています。
ソフトウェア価格はあなたの会社が私達によって決して不便にならないという保証を含みます。
あなたはまたあなたの会社のサイバーセキュリティを改善する方法についての相談を受けるでしょう。
あなたのデータを復元するために私達のソフトウェアを購入したい場合は、下記までご連絡ください。
shawhart1542925@mail.com
anderssperry6654818@mail.com
私たちはあなたにドアを見せることしかできません。あなたはそれを歩かなければならない人です。